Intrång hos Foodora – 25 000 svenska konton påverkas

Varför skulle de göra det? Möjligen om man inte hittat hur man stänger av sån skit, men så svårt är det inte.

Dags att sluta använda produktionsdata i testmiljöer! Om man absolut måste så skall de skyddas på exakt samma sätt som i produktionsmiljön, vilket är mycket ovanligt...

Jag var lite kluven på om jag skulle ta med GDPR men hade redan skrivit "två anledningar" (...:D...) på raden ovanför så den fick sitta kvar.
Vad jag menade är att GDPR i det här fallet ställer sig på företagets sida och anpassar sig efter lagen. Lagringsminimeringsprincipen enligt artikel 5.1.E i GDPR säger att man får bara spara uppgifter så länge det är nödvändigt, i en affärsverksamhet kan man bland annat luta sig mot bokföringslagen. Det blir alltså samma uppgifter (personinformation) men i två olika syften. Ena syftet är att kunna leverera en tjänst till en kund, exempelvis matutkörning. Det andra syftet är att Foodora ska uppfylla svensk lagstiftning i form av bokföringslagen. Hade den senare inte funnits skulle således uppgifterna försvunnit direkt efter att leverans och betalning genomförts.

Ett annat exempel är om en medarbetare vill ha särskild kost, säg vegankost. Skulle sedan denna medarbetare sluta måste arbetsgivaren ta bort ej relevant information om sin nu före detta medarbetare, kosten, men spara väsentlig information som kan beröra LAS eller ett arbetsgivarintyg.

Problemet med GDPR är som jag uppfattar det att det saknas fasta övre begränsningar, exempelvis ett auto expire på inaktiva konton som Foodora hade behövt implementera. Det skulle mycket väl kunna krypteras efter 12 månader och kan bara aktiveras genom ett nytt mail. Det blir inte relevant att Stina har en mailadress utan det relevanta i bokföringslagen är att en transaktion har utförts. I mina företag har jag ett HR-system som agerar så här och gråar ut information som inte är relevant efter olika parametrar som vi har satt, exempelvis next of kin försvinner på den anställdes sista arbetsdag medan annat sparas betydligt längre.

TLDR
Hemligt salt: omöjligt att knäcka något lösenord.
Öppet salt unikt för hemsida: lång tid att knäcka långa lösenord.
Öppet salt per individ: Extremt lång tid att knäcka långa lösenord.

Såhär funkar det. Hashning gör att att en sträng översätts till en annan, det är lätt att göra åt ett håll, men omöjligt åt andra. Vad man gör för att knäcka det är egentligen att man testar alla möjliga lösenord ett och ett, och när man hittar samma "översättning" så har man hittat det lösenord man letar efter. Eftersom det tar så lång tid att göra det, så finns alla sådana översättningar online i tabeller (rainbow-tabeller som folk pratar om). Det kan alltså, förenklat, se ut som såhär.

swec -> d0f5d0820c9d94ee6d94a298394f2dc9918e7bd787ddece2fe8a79c8
"correct horse battery staple" -> 636f080709f287ec5c5ea79442fc4bb914924cd5c6ca8ff84e3410c4
6FE^68VJN3pHAT -> 646cc9c3c3a9a381a196c076e58dc893de133dbf077885fac56ec3ce

Saltet är helt enkelt att man lägger till en ganska lång sträng efter lösenordet innan man hashar det. Har man ett salt som är "?2e(~gKst-Zgu.Il9-b=", då blir alltså lösenordet "swec" till "swec?2e(~gKst-Zgu.Il9-b=". Detta är så långt att det är omöjligt att knäcka om man inte vet vilket saltet är. Vet man dock saltet kan man som attackerare såklart ta fram en nå tabell genom att lägga till saltet för varje försök.. Har man ett fast unikt salt i en databas/hemsida (men samma salt för alla användare) så måste man alltså ta fram denna tabell unikt för denna databas/hemsida. Dock när man gjort det har man knäckt alla lösenord. Har man sparat ett unikt slumpgenererat lösenord för varje användare kan man dock inte göra en tabell som funkar för hela hemsidan. Det gör då inte så mycket om detta salt i princip är offentligt, utan attackeraren måste attackera varje användare/lösenord individuellt. Är det ett kort lösenord, eller ett lösenord som i huvudsak består av ord som kan hittas i ordböcker, då går det fort. Är det ex 12 slumpgenererade tecken som är lösenord, då kommer det i princip aldrig knäckas någonsin, i vart fall inte innan kvantdatorernas genombrott.

Ska även sägas att har man ett tillräckligt långt och svårt lösenord så behövs inte ens nåt salt, utan då finns man inte med i tabellerna ändå. Tabellerna kan vara stora, men inte hur stora som helst.

@houze: korts sagt läckan har varit känd av foodora länge (sedan januari eller så) och flera personer har fått betalningar till foodora på banken och foodora har bara hanvisat till polis/bank. personen i artikeln blev av med 4800kr sammanlagt, och den artikeln är från en månad sedan, redan då erkände Foodora känna till läckan (på förfrågning) och först nu kommer den "allmänna" nyheten.

och inga åtgärder tog de till under tiden såsom rensa inloggningar och tvinga folk logga in på nytt och skapa nytt lösen och bekräfta email med länk osv, bara lät bovar beställa mat med andras konton verkar det som.

Problemet är väl att du som jag tolkade det angav GDPR, eller snarare dataskyddsförordningen som det heter i Sverige, som skäl för att inte få ta bort data när det i normalfallet är det omvända. Precis som du nu skriver .

Ärligt talat förstår jag inte vitsen med dessa foodora platformer.
Skall jag beställa en Pizza, ringer jag upp italienaren, talar om för han vad jag vill ha och han levererar hem med moppe eller bil. Samma med turken, chinesen och andra. Har aldrig varit nåt problem.
Som jag vet (jag faktiskt frågade) sparar dom dina uppgifter på lappar och slänger dom i sopen när leveransen gjorts. Du kan hämta ochså. Inga bank uppgifter, e-mails, lösenord och annat "hemligt" behövs.
Varför skall man ha en foodora mellan dig och restaurangen? Dom bara blodeglar pengar för att sätta sig mellan dig och restaurangen och ger inget mervärde.

Både när jag bodde i Berlin och nu här på småorten i syd västra Tyskland, har jag aldrig behövt en foodora liknande tjänst för att få fram en kebabtalrik, pizza eller chicken noodlar från chinesen.
Och nu, med denna nyhet om läckta uppgifter, får jag bekräftat att det är bättre att ha så få som möjligt med ställen där man regestrierar sig med personliga uppgifter.

Finns mängder med matställen som inte levererar själva. Betydligt fler än som erbjuder hemleveranser i egen regi.
Vill du ha mat från någon av dem så får du antingen pallra dig dit, eller beställa via någon som Foodora.

Då åker jag hellre dit än att beställa via foodora eller andra liknande företag.
Det kostar mig inte mycket att gå till pizzarian runt hörnan eller slänga mig i bilen och köra till ex. en kinesiskt restaurang.
Folk är alldeles för lat
Men det är ett annat problem och kanske affärsgrunden till varför foodora existerar.

Då Foodora e aningen nytt gäller de OnlinePizza konton?

Foodora e väl namnet från nyligen sammanslagning?

Nej, så är det inte.

I agree.

Jag kan vara lite fel ute men kan inte de företag som uteslutande använder sig av Klarna delvis gå förbi det?

Låter väldigt ogött! Fick du reda på hur/vad som hänt?

NSA lär vara mer intresserade av att avlyssna trafik, vilket de inte kan göra genom att knäcka algoritmer för lösenordshashning. Att hitta svagheter eller kollisioner i de vanligare hash-algoritmer är också mer intressant för dem då det i teorin eventuellt skulle kunna ge dem möjligheten att generera falska certifikat, möjligheten att skapa skadliga filer med samma hash som en ofarlig fil, etc.

Ja, att du tog upp de andra algoritmerna som exempel på algoritmer generellt ser jag inget problem med. Det var mest när du specifikt nämnde att SHA3 + salt borde vara lugnt, och därmed specifikt talade om lösenord. Som svar på det ville jag bara förtydliga att det fanns algoritmer som är anpassade för ändamålet.

Det är naturligtvis så att om köpet är godkänt med BankID så lär du inte få pengarna tillbaka då heller. Det är bara det att risken att man råkar illa ut med BankID är mycket mindre än med SMS. Brukar du gå runt och berätta koden till BankID för alla du möter? Det finns ingen som kan min kod mer än jag, och den är unik. Dessutom finns det på en pryl, inte alla jag äger. Och då har jag inte ens tagit upp risken att det är ett avancerat angrepp, där någon klonar telefonen (dvs, får ut ett nytt SIM med ditt nummer från sommarjobbaren i närmaste Telia-kiosk).

Fick faktiskt googla det själv för det var komplext:

Delivery Hero köpte upp OnlinePizza 2012 och Foodora 2015. De har varit samma företag sen dess. Nyligen lade man ner varumärket OnlinePizza och kallar allt Foodora. Hade du konto på OnlinePizza 2016 är det alltså dags att byta lösenord överallt.

Så vi kan enas om att nedanstående inte stämmer då och att det inte finns något som säger att banken i normalfallet skulle vägra ersätta bedrägerier för att man använder 2FA via SMS? Att det sen finns generella undantag vid grov oaktsamhet samt att BankID överlag är bland de säkraste lösningarna som finns är väl sant i sig men en annan diskussion.

Kan tillägga att det jag primärt är ute efter inte är att påvisa att du skulle ha fel utan snarare att inte folk ska oroa sig i onödan för att dom har 2FA via SMS vid kortköp om det nu inte stämmer det som påstås. Skulle det stämma lär jag inte vara den enda som vill veta om det men då behöver vi hitta en källa på det.

Generellt känns det osannolikt att bankerna skulle tillhandahålla ett sätt för verifiering som dom själva anser är så osäkert att dom skulle vägra ersätta drabbade kunder som använde det. Å andra sidan så tog det några år innan bankerna började lita på sina egna BankID:n för autentisering/signering i de egna internetbankerna men ändå erbjöd det för samma sak till externa parter.

Verified by Visa är designad just för att flytta risken för bedrägeri till kunden istället för som tidigare hos säljaren. Detta är Visas uttalade idé med systemet - genom att ha ytterligare en verifiering blir det lättare att argumentera att det är kunden som har gjort något fel. Internationellt är det vanligt att kunden måste ange ett lösenord som de själva satt. Detta är vansinnigt osäkert - dels sätter folk svaga lösenord, dels återanvänder de dessa, och dels kan de alltid nollställas på något sätt. I praktiken är det mindre säkert än bara att kolla kreditkortsnummer. Detta är inget problem för Visa eller bankerna, för deras mål är egentligen inte att minska bedrägerier - det är att minska deras egna förluster från bedrägerier. De har inga som helst problem med att lägga till ett osäkert steg, så länge det minskar deras förluster.

Det finns inget att vinna för dig som kund att slå på SMS-verifiering. Svenska banker måste erbjuda Verified by Visa/MasterCard SecureCode (vilket är samma sak, de licensierar det från Visa) och det är naturligtvis en fördel för säljaren att använda det, men det är upp till banken vilken bekräftelse de vill ha från dig. Accepterar de ett köp utan att du aktiverat SMS-verifiering så är det deras problem, inte ditt. Vägrar de online-köp utan det, så använd ett annat kort. Vill de köra med BankID för att verifiera dig så är det helt OK, för det är idag säkert nog, men SMS 2FA är bara korkat.

Åter till den första frågan, om källor. Jag känner till ett antal fall internationellt där Verified by Visa ledde till att banken inte var ersättningsskyldig vid ett bedrägeri. Vad jag kan hitta bland svenska fall är källorna ovan, samt ett fall från ARN (2019-11253) där kunden blev ersättningsskyldig efter ett bedrägeri där någon lurade till sig en engångskod från SMS för att skapa ett nytt BankID. Bättre källor än så kan jag inte hitta just nu, men jag tycker att de källorna är ganska tydliga. Om det anses vara grov oaktsamhet att lämna en plånbok i en låst bil, så är det väl lika oaktsamt att lämna en telefon där. Sammantaget är man mindre säker med SMS 2FA på än av.

Vet inte om det är därför, men har börjat få massa Scam-samtal efter att denna läckan dök upp. Inte fått några tidigare.

Samma fråga igen, har du någon källa på det? För vad jag vet handlar det snarare om att flytta ansvaret från säljaren till kortutgivaren. Banken kan i sin tur eventuellt försöka flytta ansvaret till kunden om dom anser att kunden varit försumlig, det har dock inget att göra med 2FA lösningen. Är kunden nog korkad kan man ha hur många säkerhetsspärrar som helst och ändå bli lurad.

Varför skulle det inte finnas någon fördel för kunden att aktivera 2FA om alternativet är att inte ha någon verifiering alls? Hela iden med 2FA (iaf delvis) är att blanda in fler steg i ekvationen för att försvåra det hela för en man-in-the-middle. I de flesta fall är det nog inte så att kunden alls aktiverar SMS verifiering utan det snarare är att krav för att få handla på fler och fler ställen. BankID är bra men i en värld där ytterst få länder ens har personnummer så är fungerar det nog inte som global lösning på länge och då är förmodligen 2FA via SMS eller annat "Autentiserare" alla gånger bättre än att inte ha någon alls (förutom att säljaren riskerar att tappa affärer på det för att det blir ett extra steg för kunden att genomföra).

Nej, det stämmer inte. Det som ledde till att banken inte var ersättningsskyldig var att kunden lämnat ut sin engångskod till någon annan som sen missbrukade den vilket bröt mot villkoren som kunden accepterat för att bli kund hos banken/tjänsten. Utan 2FA via SMS så hade bedragaren enbart behövt lura kunden till att godkänna det hela med sitt BankID mot som nu att det även krävdes att dom lurade kunden att inte göra bara det utan att även dela med sig av sin SMS kod.

Om man är riktigt paranoid skulle man väl kunna hävda att alla former av säkerhet enbart fanns för att de som tillämpade säkerheten skulle kunna friskriva sig från ansvar, men tror få på allvar skulle tro på det i detta fall

Varför skulle Visa lägga pengar på att utveckla en lösning för att flytta kostnaden till sig själva? Vill de det så kan de bara säga att ”Vi tar det här!” och gå vidare.

Nej, bakgrunden var lite tjafs i säljar-ledet (speciellt om ”friendly fraud”) och Visa ville inte att de skulle utveckla någon egen betalningslösning. Det här blev ett utmärkt svar - flytta kostnaden till konsumentsidan som har svårare att byta, och låt någon entreprenör hitta på ett bättre verifierings-system. Vilket ju också har hänt.

.

För att du inte får tillbaka pengarna om någon snor dem på det sättet och får tillgång till SMS-koden, vilket inte är så svårt. Det är det jag försöker visa med alla länkarna.

Nja. Siterna kräver Verified by Visa, vilket skickar en fråga till din bank för verifiering. Om banken i fråga har ditt mobilnummer, så kan de vilja skicka SMS till dig eller begära bekräftelse via BankID eller vad det nu är. Siten kan ligga i Ulan-Baator, det spelar ingen roll i sammanhanget om du har ett svenskt kreditkort och en svensk bank - så länge de kör Verified By Visa. Det är naturligtvis upp till banken att godkänna det ändå, om de inte har det numret eller någon annan verifiering aktiv. Jag har ett kort som det är så på.

Om man blir tvungen att slå på verifieringen för att kunna använda kortet, ja då är det så. Byt kort skulle jag säga, men det är inte alltid så lätt i denna bank-kartell. Inlägget jag svarade på lyfte SMS-verifiering som något man skulle slå på för att vara mer säker, och det var det jag vände mig mot.

Av samma skäl som man försöker förbättra IT säkerheten i alla andra sammanhang, att göra det svårare för bedragarna och minska antalet incidenter. Det bästa sättet att spara pengar lär vara om inga bedrägerier alls sker.

Vilket fortfarande är ett påstående som saknar stöd annat än som personlig åsikt. Skulle någon hacka sig in i typ Telias nätverk och på den vägen komma över SMS eller motsvarande skulle det knappast sluta med att kunden fick stå för kostnaden eftersom dom då inte varit försumliga. I vilket fall som helst, om alternativet är att inte ha 2FA så lär det ändå alla gånger vara sämre (med viss reservation för om kunden blir mer lättlurad i tron att något är helt säkert). Sen finns det så klart många fler detaljer normalt i detta, varje fall lär vara unikt men här talar vi väl om normalfallet/normalfallen.

Om du egentligen försöker säga att det finns säkrare sätt att skydda kreditkort med mera än 2FA via SMS så kan jag helt hålla med dig. Om alternativen är 1FA eller 2FA via SMS så vidhåller jag att det senare alltid är en bättre lösning (ur ett säkerhetsperspektiv) och kan fortfarande inte se varför någon som hade möjligheten skulle inaktivera det eller byta kort beroende på just det.

Måhända att vi dock kommit bort lite från trådens huvudtema här dock, men få inlägg har väl överlag handlat om just det ändå

Korv också, då borde jag vara drabbad, skapade mitt konto hos OnlinePizza 2016. Har dock inte fått något mail om det.

Men som tur är kör jag alltid med långa unika lösenord för varje tjänst, och har inget kortnummer lagrat hos dem heller, så det drabbar inget viktigt.

Uppdatering: upptäckte just att de kör med OTP via sms, varpå risken minskar avsevärt för någon att drabbas.

Om kunden gjort allt perfekt, så får man säkert pengarna tillbaka. Men som alla länkarna om ARN handlar om - det är väldigt små misstag som krävs för att ARN skall tycka att man är grovt försumlig. Lämnat mobilen i den låsta bilen är uppenbart inte OK. Lämna den i jackfickan när jackan hänger på stolen är inte OK. Vilket annat misstag av samma dignitet skulle ARN hänga upp sig på? Ser ingen anledning att ge dem den öppningen.

Jag är inte direkt ensam om att tycka att 2FA över SMS är uselt:

https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.htm...

https://authlogics.com/2019/10/07/sms-two-factor-authenticati...

https://www.kaspersky.com/blog/2fa-practical-guide/24219/

Google är fullt av dem.

Vi stör ingen annan, men vi verkar inte komma någonstans heller. För att summera: om något av mina kort krävde att jag tillät SMS-verifiering utan något alternativ, skulle jag sluta använda det kortet. Det är för min del samma sak som om internetbanken slutade använda HTTPS - det är inte en acceptabel säkerhetsnivå.

Du har om jag minns rätt hänvisat till ett beslut i ARN som handlar om att någon själv gav bort sin SMS kod till bedragarna.

Annars hade du bara kunnat länka till denna tråd där vi konstaterade samma sak för några dagar sedan, att det finns säkrare former av 2FA än SMS.

Nu börjar vi komma någonstans. Det jag invänt mot var det ursprungliga påståendet om att det skulle vara sämre med 2FA via SMS än att inte ha 2FA alls. Det vore som att hävda att HTTP är bättre än HTTPS med ett svagt certifikat bara för att det finns starkare HTTPS certifikat. Att hävda att 2FA via SMS fortfarande inte är nog säkert kan jag absolut hålla med om men om alternativet är ingen 2FA alls är det ändå ett fall framåt.

Glad att vi uppnådde enighet till slut och förmodligen är det fler här som är glada för det

Nej, fick aldrig några bilder eller noveller. Men å andra sidan slapp jag också känslan av att befinna mig på helt olika platser samtidigt. Samt att banken stod för notan, vilket ju är en ganska ovanlig företeelse i sig.